Le BSI allemand met en garde contre des milliers de serveurs Exchange vulnérables accessibles en ligne. Une bonne partie d’entre eux fonctionnent même encore sous des versions non prises en charge de Microsoft Exchange.
Le Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand avertit les organisations : ses propres recherches montrent que, même en Allemagne seulement, 17 000 serveurs Microsoft Exchange présentent des vulnérabilités connues et sont accessibles en ligne. Les Allemands considèrent qu’il y a environ 45 000 serveurs Exchange dans le pays avec Outlook Web Access activé et accessible via l’internet. 37 % d’entre eux sont vulnérables d’une manière ou d’une autre.
Douze pour cent des serveurs fonctionnent même avec une version obsolète d’Exchange. Exchange 2010 et Exchange 2013 sont encore scandaleusement populaires. Ces solutions ne sont plus prises en charge par Microsoft et ont reçu leurs dernières mises à jour en octobre 2020 et avril 2023, respectivement. Par conséquent, des milliers de serveurs allemands n’ont pas reçu de mises à jour de sécurité depuis des mois, voire des années, mais sont toujours accessibles en ligne.
Autres bogues
Pour les autres serveurs, c’est un méli-mélo de bogues critiques qui ont déjà reçu des correctifs depuis longtemps. Ce sont des vulnérabilités qui datent d’octobre de l’année dernière ou d’avant et pour lesquelles Microsoft a déjà partagé des solutions. Cependant, le BSI note que les Allemands ont encore beaucoup à faire pour déployer suffisamment ces correctifs.
Bien que ce sont des chiffres allemands, il faut rester vigilant. La Belgique n’est généralement pas un très bon élève en ce qui concerne les correctifs rapides. Il est fort probable que notre pays connaisse un scénario similaire lors d’un audit. Il reste toujours essentiel de corriger rapidement les erreurs, car Exchange n’est jamais isolé dans une entreprise. Cette passerelle donne accès à l’ensemble de l’organisation et les pirates sont ravis de l’utiliser à mauvais escient si elle est ouverte. Le critère minimal absolu : ne pas exposer simplement des systèmes obsolètes à l’internet.